ISMS Copilot
Aspects juridiques

Confidentialité des données et conformité RGPD - Mis à jour

Aperçu

ISMS Copilot est entièrement conforme au Règlement général sur la protection des données (RGPD) et suit des principes stricts de confidentialité des données. Cet article explique vos droits en matière de confidentialité, la manière dont nous traitons vos données et les contrôles dont vous disposez sur vos informations.

À qui s'adresse cet article

Cet article s'adresse aux :

  • Utilisateurs basés dans l'UE concernés par la conformité au RGPD

  • Délégués à la protection des données (DPO) évaluant ISMS Copilot

  • Consultants en conformité gérant les données de clients sous le RGPD

  • Toute personne souhaitant comprendre ses droits en matière de confidentialité

Aperçu de la conformité au RGPD

Comment ISMS Copilot répond aux exigences du RGPD

Minimisation des données (Article 5(1)(c))

ISMS Copilot ne collecte que le minimum de données nécessaires à la fourniture du service :

  • Adresse e-mail pour l'identification du compte, l'authentification et les communications essentielles

  • Identifiants d'authentification (mots de passe hachés ou jetons OAuth)

  • Historique des conversations pour fournir des réponses d'IA contextuelles

  • Documents téléchargés pour l'analyse et l'évaluation des écarts de conformité

  • Métadonnées d'utilisation pour la facturation et l'amélioration du service

  • Données d'engagement e-mail (ouvertures, clics) pour l'intégration et les e-mails de mise à jour du produit (les utilisateurs peuvent se désinscrire)

ISMS Copilot ne collecte pas d'informations personnelles inutiles telles que les numéros de téléphone, les adresses ou les données démographiques. Seules les données essentielles à la prestation de services sont stockées.

Limitation des finalités (Article 5(1)(b))

Vos données sont utilisées exclusivement pour :

  • Fournir une assistance à la conformité optimisée par l'IA

  • Gérer votre compte et votre abonnement

  • Améliorer les performances et la fiabilité du service

  • Respecter les obligations légales

ISMS Copilot n'utilise jamais vos données à des fins de marketing, de publicité ou de vente à des tiers. Vos conversations et documents téléchargés ne sont jamais utilisés pour entraîner des modèles d'IA.

Limitation de la conservation (Article 5(1)(e))

Vous avez un contrôle total sur la durée de conservation de vos données :

  • Définir des périodes de conservation de 1 jour à 7 ans, ou conserver indéfiniment

  • La suppression automatique des données expirées s'effectue quotidiennement

  • Demander la suppression immédiate du compte et des données à tout moment

Protection des données dès la conception (Article 25)

La sécurité et la confidentialité sont intégrées à chaque fonctionnalité d'ISMS Copilot :

  • Chiffrement de bout en bout pour toutes les données

  • La sécurité au niveau des lignes empêche les accès non autorisés

  • L'isolation des espaces de travail sépare les données des clients

  • Authentification sécurisée avec prise en charge d'OAuth

Vos droits au titre du RGPD

Droit d'accès (Article 15)

Vous avez le droit d'accéder à toutes vos données personnelles stockées dans ISMS Copilot.

Ce à quoi vous pouvez accéder :

  • Les informations de votre compte (e-mail, paramètres)

  • Tout l'historique des conversations à travers les espaces de travail

  • Les documents et fichiers téléchargés

  • Les métadonnées d'utilisation et les horodatages

Comment accéder à vos données :

  1. Connectez-vous à votre compte ISMS Copilot

  2. Naviguez dans vos espaces de travail pour consulter les conversations

  3. Consultez les fichiers téléchargés dans chaque fil de discussion

  4. Pour un export complet des données, contactez le support via le Centre d'aide

Droit de rectification (Article 16)

Vous pouvez mettre à jour ou corriger vos informations personnelles à tout moment.

Comment mettre à jour vos informations :

  1. Cliquez sur l'icône du menu utilisateur (en haut à droite)

  2. Sélectionnez Settings (Paramètres)

  3. Votre adresse e-mail s'affiche (pour la modifier, contactez le support)

  4. Mettez à jour vos préférences de conservation des données

  5. Cliquez sur Save Settings (Enregistrer les paramètres)

Résultat attendu : La boîte de dialogue des paramètres se ferme et vos modifications sont enregistrées immédiatement.

Droit à l'effacement / « Droit à l'oubli » (Article 17)

Vous pouvez demander la suppression complète de votre compte et de toutes les données associées.

Comment supprimer vos données :

  1. Cliquez sur l'icône du menu utilisateur

  2. Sélectionnez Help Center (Centre d'aide) → Contact Support (Contacter le support)

  3. Soumettez une demande de suppression de données

  4. Le support vérifiera votre identité et confirmera la demande

  5. Toutes les données sont supprimées définitivement sous 30 jours

La suppression du compte est définitive et irréversible. Tous les espaces de travail, conversations, fichiers téléchargés et paramètres du compte seront définitivement effacés. Assurez-vous d'exporter toutes les données dont vous avez besoin avant de demander la suppression.

Ce qui est supprimé :

  • Votre compte et votre adresse e-mail

  • Tous les espaces de travail et l'historique des conversations

  • Tous les documents et fichiers téléchargés

  • Les instructions personnalisées de l'espace de travail

  • Les métadonnées d'utilisation et les journaux

Ce qui peut être conservé :

  • Les relevés de facturation anonymisés (requis pour la conformité fiscale et comptable)

  • Les données analytiques anonymisées (aucune information personnellement identifiable)

Droit à la portabilité des données (Article 20)

Vous avez le droit de recevoir vos données dans un format structuré et lisible par machine.

Comment exporter vos données :

  1. Contactez le support via le Centre d'aide

  2. Demandez un export de données

  3. Le support fournira vos données au format JSON contenant :

    • Les informations du compte

    • L'historique des conversations

    • Les configurations des espaces de travail

    • Les métadonnées des fichiers téléchargés

  4. Téléchargez le fichier d'exportation pour l'utiliser dans d'autres systèmes

Les exportations de données sont généralement fournies sous 72 heures. Pour les comptes volumineux avec un historique de conversation étendu, les exportations peuvent prendre jusqu'à 5 jours ouvrables.

Droit à la limitation du traitement (Article 18)

Vous pouvez demander la suspension temporaire du traitement des données pendant la résolution de litiges.

Quand pouvez-vous limiter le traitement :

  • Vous contestez l'exactitude des données personnelles

  • Le traitement est illicite mais vous ne souhaitez pas la suppression des données

  • Vous avez besoin des données pour des actions en justice

  • Vous vous êtes opposé au traitement en attendant la vérification

Comment demander une limitation :

  1. Contactez le support via le Centre d'aide

  2. Expliquez la raison de la limitation

  3. Le support examinera et mettra en œuvre les limitations appropriées

Droit d'opposition (Article 21)

Vous pouvez vous opposer à certains types de traitement de données.

Ce à quoi vous pouvez vous opposer :

  • Le traitement à des fins de marketing direct (ISMS Copilot n'effectue pas de traitement marketing)

  • Le traitement fondé sur des intérêts légitimes

  • La prise de décision automatisée (non utilisée actuellement par ISMS Copilot)

Comment s'opposer :

  1. Contactez le support via le Centre d'aide

  2. Précisez à quel traitement vous vous opposez

  3. Le support examinera la demande et répondra sous 30 jours

Détails du traitement des données

Pour obtenir des informations faisant autorité sur l'acheminement des fournisseurs d'IA, les listes de sous-traitants, les périodes de conservation et les mécanismes de transfert de données, veuillez vous référer aux documents juridiques officiels sur notre Trust Center :

Le Trust Center est mis à jour chaque fois que les accords avec les fournisseurs d'IA ou les pratiques de traitement des données changent. Les articles du centre d'aide résument ces sujets pour plus de commodité, mais les documents du Trust Center sont la source faisant autorité.

Fonctionnalités de confidentialité dès la conception

Mode de réduction des PII

ISMS Copilot propose une biffure automatique des PII (Informations personnelles identifiables) pour protéger les données personnelles sensibles avant qu'elles n'atteignent le traitement par l'IA. Lorsqu'il est activé, le système détecte et biffe les modèles de PII courants dans vos messages et documents téléchargés.

Ce qui est biffé :

  • Noms de personnes (ex: « Jean Dupont » → « [REDACTED_NAME] »)

  • Noms d'entreprises et d'organisations

  • Adresses e-mail (ex: « [email protected] » → « [REDACTED_EMAIL] »)

  • Numéros de téléphone sous divers formats

Comment activer la réduction des PII :

  1. Accédez à Settings (Paramètres) → Privacy (Confidentialité) ou Data Protection (Protection des données)

  2. Activez l'option « Enable PII Reduction » (Activer la réduction des PII)

  3. Consultez la fenêtre contextuelle de confirmation expliquant les limitations basées sur les modèles

  4. Recherchez l'icône de bouclier vert dans la zone de saisie du chat pour confirmer l'activation

Lorsque la réduction des PII est active, vous verrez une icône de bouclier vert dans la zone de saisie du chat comme confirmation visuelle que la biffure fonctionne.

Limitations importantes :

  • Détection basée sur des modèles : la réduction des PII utilise des expressions régulières (regex) et peut ne pas capturer toutes les informations sensibles

  • Pas fiable à 100 % : certaines PII peuvent passer au travers ; certains textes légitimes peuvent être biffés

  • Ne remplace pas la minimisation des données : examinez toujours les données avant de les télécharger et évitez d'inclure des PII inutiles

  • S'applique avant le traitement par l'IA : la biffure se produit avant que les données n'atteignent les fournisseurs d'IA

La réduction des PII est une amélioration de la confidentialité, pas une garantie d'anonymisation complète. Vérifiez toujours les résultats par rapport aux normes officielles et évitez de télécharger des données personnelles inutiles. Cette fonctionnalité fonctionne mieux comme couche de protection supplémentaire parallèlement aux pratiques de minimisation des données.

Cas d'utilisation :

  • Traitement des rapports d'audit client contenant des noms d'employés

  • Analyse des politiques de conformité avec des coordonnées de contact

  • Travail avec des politiques RH ou des rapports d'incident

  • Ajout d'une protection supplémentaire de la confidentialité lors de l'utilisation du mode de protection avancée des données

Combinaison avec la protection avancée des données :

Pour une confidentialité maximale, activez les deux fonctionnalités :

  • Réduction des PII : Biffe les données personnelles avant le traitement par l'IA

  • Mode de protection avancée des données : Garantit un traitement exclusivement dans l'UE avec une conservation nulle chez le fournisseur d'IA

Ensemble, ces fonctionnalités offrent des garanties de confidentialité solides pour les travaux de conformité sensibles.

Isolation des espaces de travail

Les espaces de travail permettent de séparer les données pour les scénarios multi-clients :

  • Chaque espace de travail conserve son propre historique de conversation

  • Les fichiers téléchargés sont liés à des espaces de travail spécifiques

  • Les instructions personnalisées sont propres à chaque espace de travail

  • La suppression d'un espace de travail supprime toutes les données associées

Les consultants en conformité doivent créer des espaces de travail distincts pour chaque client. Cela garantit que les données des clients restent isolées et simplifie le respect des obligations de confidentialité.

Aucun partage de données entre utilisateurs

ISMS Copilot met en œuvre des limites de données strictes :

  • Les utilisateurs ne peuvent pas accéder aux données des autres utilisateurs

  • Les réponses de l'IA sont générées indépendamment pour chaque utilisateur

  • Les requêtes de base de données sont automatiquement filtrées par l'ID de l'utilisateur authentifié

  • Même les administrateurs système suivent le principe du moindre privilège

Aucun entraînement de l'IA sur les données utilisateur

Vos données de conformité sensibles ne sont jamais utilisées pour l'entraînement de l'IA :

  • Les conversations ne sont pas stockées par OpenAI ou d'autres fournisseurs d'IA

  • Les documents téléchargés restent confidentiels et privés

  • Les informations client ne contribuent jamais à l'amélioration des modèles

  • Chaque conversation est traitée isolément

Il s'agit d'une différence cruciale par rapport aux outils d'IA grand public comme la version gratuite de ChatGPT, qui peuvent utiliser les conversations pour l'entraînement. ISMS Copilot garantit que vos données de conformité restent totalement confidentielles.

Demandes des personnes concernées

Comment soumettre une demande relative au RGPD

  1. Cliquez sur l'icône du menu utilisateur (en haut à droite)

  2. Sélectionnez Help Center (Centre d'aide) → Contact Support (Contacter le support)

  3. Décrivez clairement votre demande :

    • « Je demande l'accès à toutes mes données personnelles au titre de l'article 15 du RGPD »

    • « Je demande la suppression de mon compte au titre de l'article 17 du RGPD »

    • « Je demande l'exportation de mes données au titre de l'article 20 du RGPD »

  4. Le support vérifiera votre identité et traitera la demande

Délais de réponse

ISMS Copilot répond aux demandes RGPD selon les délais réglementaires :

  • Accusé de réception : Sous 24-48 heures

  • Demandes d'accès : Sous 30 jours (généralement sous 72 heures)

  • Demandes de suppression : Sous 30 jours

  • Portabilité des données : Sous 30 jours (généralement sous 72 heures)

  • Demandes de rectification : Immédiatement pour les champs modifiables par l'utilisateur ; sous 30 jours pour les autres

Si ISMS Copilot doit prolonger le délai de réponse (ex: pour des demandes complexes), vous en serez informé sous 30 jours avec une explication et une date d'achèvement estimée.

Vérification d'identité

Pour protéger vos données contre tout accès non autorisé, ISMS Copilot peut vérifier votre identité :

  • Vous devez soumettre vos demandes à partir de votre adresse e-mail enregistrée

  • Pour les demandes sensibles, une vérification supplémentaire peut être requise

  • Le support peut poser des questions de sécurité concernant votre compte

Confidentialité des enfants

ISMS Copilot n'est pas destiné aux enfants de moins de 16 ans :

  • Le service est conçu pour les professionnels de la conformité et les entreprises

  • Aucun mécanisme de consentement parental n'est fourni

  • Si une utilisation par un mineur est découverte, le compte sera résilié et les données supprimées

Mises à jour de la politique de confidentialité

Comment vous serez informé

Lorsque les pratiques de confidentialité changent, ISMS Copilot :

  • Enverra une notification par e-mail à votre adresse e-mail enregistrée

  • Affichera une notification dans l'application lors de votre prochaine connexion

  • Mettra à jour la politique de confidentialité avec une date de « Dernière mise à jour »

  • Fournira un préavis d'au moins 30 jours pour les changements substantiels

Vos options

Si vous n'acceptez pas les modifications de la politique de confidentialité :

  • Demandez la suppression de votre compte avant l'entrée en vigueur des changements

  • Exportez vos données avant la date d'entrée en vigueur

  • Contactez le support pour faire part de vos préoccupations

Autorité de contrôle

En tant que service basé dans l'UE, ISMS Copilot est soumis à la surveillance de la protection des données.

Droit d'introduire une réclamation

Si vous estimez qu'ISMS Copilot a violé vos droits à la confidentialité, vous pouvez :

  1. Contacter le support d'ISMS Copilot pour résoudre le problème directement

  2. Déposer une plainte auprès de votre autorité locale de protection des données

  3. Déposer une plainte auprès de l'autorité française de protection des données (CNIL) où ISMS Copilot est établi

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Site web : https://www.cnil.fr/en

  • Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France

  • Téléphone : +33 1 53 73 22 22

Bonnes pratiques de conformité

Pour les consultants gérant des données clients

  • Créez des espaces de travail distincts pour chaque client

  • Définissez des périodes de conservation appropriées correspondant aux contrats clients

  • Anonymisez les données personnelles sensibles avant de les télécharger

  • Informez vos clients que vous utilisez ISMS Copilot pour les travaux de conformité

  • Incluez ISMS Copilot dans vos accords de traitement des données

  • Activez le mode de protection avancée des données si les clients exigent un traitement exclusivement dans l'UE

Pour les organisations

  • Documentez ISMS Copilot dans votre registre de traitement des données (consultez notre Registre des activités de traitement pour référence)

  • Incluez-le dans les analyses d'impact relatives à la protection des données (AIPD) en cas de traitement de données sensibles

  • Formez le personnel à la manipulation correcte des données dans ISMS Copilot

  • Configurez les périodes de conservation pour qu'elles correspondent à votre politique de conservation des données

Besoin d'aide avec la documentation de conformité au RGPD ? ISMS Copilot peut vous aider à créer des accords de traitement des données, des politiques de confidentialité et des modèles d'AIPD spécifiques à votre organisation.

Transparence et confiance

Documentation sur la sécurité

Pour des informations détaillées sur les pratiques de sécurité et de confidentialité d'ISMS Copilot, visitez notre Security Collection :

  • Descriptions détaillées du traitement des données

  • Documentation sur les mesures de sécurité

  • Liste complète des sous-traitants avec emplacements et statut DPA

  • Certifications de conformité

  • Politiques de gouvernance de l'IA

Vous pouvez également consulter notre Registre complet des activités de traitement (RopA) pour connaître les mesures techniques et organisationnelles détaillées.

État du système

Surveillez la disponibilité du service et les incidents de sécurité sur la Status Page :

  • Surveillance de la disponibilité en temps réel via BetterStack

  • Notifications d'incidents et mises à jour de statut

  • Calendriers de maintenance planifiée

  • Données historiques de disponibilité

  • Classification et escalade transparentes des incidents

Limitations

Fonctionnalités de confidentialité actuelles

  • L'exportation automatisée des données n'est pas disponible (doit être demandée via le support)

  • Les modifications d'adresse e-mail nécessitent l'assistance du support

  • Pas de suppression de compte en libre-service (doit contacter le support)

  • Bannière de consentement aux cookies non implémentée (aucun cookie de suivi utilisé)

Étapes suivantes

  • En savoir plus sur les mesures de sécurité et le chiffrement

  • Configurer des espaces de travail pour isoler les données des clients

  • Consulter notre évaluation de l'impact des transferts

  • Créer un compte sécurisé avec une authentification forte

  • Consulter notre Security Collection pour une documentation détaillée sur la confidentialité

Obtenir de l'aide

Pour les questions liées à la confidentialité ou les demandes RGPD :

  • Contactez le support via le menu du Centre d'aide

  • Envoyez un e-mail à partir de l'adresse e-mail de votre compte enregistré

  • Incluez « GDPR Request » dans l'objet pour un traitement plus rapide

  • Visitez notre Security Collection pour une documentation détaillée

Cela vous a-t-il été utile ?